Con Ordinanza di Ingiunzione del 15 aprile 2021, l’Autorità Garante per la protezione dei dati personali (il ”Garante”) ha sanzionato una società operante nel settore manifatturiero per non aver informato correttamente e puntualmente i lavoratori interessati circa le caratteristiche di un sistema informatico in uso presso la stessa. Così facendo, la società ha trattato illecitamente i dati dei lavoratori andando oltre i limiti stabiliti dall’autorizzazione dell’Ispettorato del lavoro territorialmente competente e le finalità indicate nelle informative rilasciate.
Il Garante è intervenuto a seguito del reclamo presentato dalla FIOM CGIL, su mandato di alcuni lavoratori, con cui veniva richiesto di adottare un provvedimento di accertamento e prescrittivo nei confronti della società datrice di lavoro. In particolare, veniva denunciato che il sistema in uso in azienda prevedeva l’inserimento di una password individuale sulla postazione di lavoro prima di iniziare l’attività che permetteva di archiviare i dati dei singoli lavoratori relativamente ai fermi e alla produzione durante tutto l’arco della giornata lavorativa. Pertanto, stante la riferibilità dei dati raccolti all’attività dei singoli dipendenti a seguito dell’autenticazione con la password, attraverso tale sistema la società, a parere del sindacato, raccoglieva anche dati disaggregati e per finalità ulteriori rispetto a quelle indicate nelle informative rilasciate.
All’esito dell’istruttoria svolta dal Garante è emerso, tra le altre, che il sistema informatico coesisteva con la precedente modalità di organizzazione delle attività di lavoro, basata sulla compilazione di moduli cartacei in cui il nominativo dei dipendenti era indicato in chiaro. I moduli venivano conservati e registrati sul software, ma senza alcuna forma di separazione, contravvenendo in questo modo a quanto indicato nelle informative sul funzionamento del sistema e nell’autorizzazione amministrativa, che avevano vietato espressamente l’utilizzo dei dati raccolti a fini disciplinari. Era, infatti, emerso che i dati raccolti attraverso tale strumento erano stati utilizzati per verificare la veridicità di quanto affermato da un dipendente nel corso di un procedimento disciplinare avviato nei suoi confronti.
E’ emersa, inoltre, la sussistenza di irregolarità nei tempi di conservazione dei dati così raccolti e trattati che, stando a quanto dichiarato dalla società, avrebbero dovuto essere commisurati con quanto necessario per “il monitoraggio/valutazione dei cicli produttivi”.
Alla luce delle informazioni raccolte, il Garante ha disposto la limitazione definitiva dei trattamenti effettuati mediante i dati raccolti attraverso il sistema in uso, ingiungendo la società (i) a conformare la propria organizzazione e i propri trattamenti al Regolamento (UE) 2016/679 anche aggiornando l’informativa da fornire ai dipendenti interessati, (ii) ad adottare adeguate misure di segregazione dei dati raccolti sia attraverso i form cartacei sia attraverso il software oltreché (iii) a pagare la somma di euro 40.000,00 a titolo di sanzione pecuniaria per le violazioni riscontrate.
Altri insights correlati:
Martina De Angeli, componente del Dipartimento Compliance del nostro Studio, è intervenuta come docente alle sessioni formative tenutesi lo scorso 10 e 11 ottobre nell’ambito del Modulo “Compliance Management. I Processi Di Compliance Aziendale” all’interno dell’”Executive Master in Data Protection Management (GDPR) & Cyber Security for Digital Transformation” organizzato da Sida Group S.r.l.
L’intervento ha avuto ad oggetto i principi, le disposizioni nonché gli adempimenti necessari per una corretta costruzione del Modello Organizzativo così come disciplinato dal D.lgs. 231/2001. E’ stato, altresì, approfondito il tema del rapporto tra la disciplina sulla responsabilità amministrativa degli enti ed il Regolamento (UE) in materia di protezione dei dati personali 2016/679 (c.d. GDPR) e vi sono stati momenti di analisi e condivisione di specifici Case Studies.
La Corte di Cassazione, con l’ordinanza n. 18292 emessa il 3 settembre 2020, ha osservato che l’omessa predisposizione di misure tecniche ed organizzative a tutela della protezione dei dati personali dell’interessato è equiparabile alla colpa organizzativa legata alla mancata adozione di un modello organizzativo ai sensi del D.Lgs. 231/2001.
Nel caso di specie, un ente locale ha presentato ricorso in Cassazione avverso un’ordinanza di ingiunzione dell’Autorità Garante per la protezione dei dati personali (il “Garante”) con la quale gli era stata comminata una sanzione per aver pubblicato sull’albo pretorio on line i dati personali di una dipendente comunale oltre il termine di 15 giorni previsto dall’articolo 124 del TUEL (“Testo Unico degli Enti Locali”).
Era stato, infatti, accertato che il Comune aveva mantenuto visibili per oltre un anno le determinazioni da cui risultavano evidenti (i) il nome e il cognome dell’interessata, (ii) l’esistenza di un contenzioso tra la stessa e l’Amministrazione comunale, (iii) lo stato di famiglia e (iv) le circostanze che la medesima vivesse da sola, avesse avanzato una domanda di rateizzazione del dovuto e che tale domanda non fosse stata accolta.
Il Comune, a sostegno della propria posizione, ha eccepito che la colpa della mancata cancellazione dei dati dell’interessata dall’albo pretorio on line dovesse essere imputata all’opera di un consulente esterno a cui era stato dato l’incarico di configurare il sito internet dell’Amministrazione in conformità alla normativa vigente.
La Corte di Cassazione, nel respingere il ricorso, ha chiarito che i dati della dipendente non riguardavano alcun “aspetto dell’organizzazione”, non costituivano “indicatori relativi agli andamenti gestionali e all’utilizzo delle risorse”, né tantomeno rappresentavano “risultati dell’attività di misurazione e valutazione svolta dagli organi competenti”. Pertanto, la loro pubblicazione oltre il termine fissato dalla legge non poteva considerarsi legittima.
In merito poi alla responsabilità del consulente esterno, la Corte di Cassazione ha precisato che il titolare del trattamento, ai sensi dell’art. 4 del Regolamento (UE) 2016/679 in materia di protezione dei dati personali (il “GDPR”), è la persona giuridica e non il legale rappresentante o l’amministratore, configurandosi così una autonoma responsabilità proprio in capo alla persona giuridica. Questa responsabilità, proseguono i giudici, deve essere configurata come “colpa di organizzazione”, ossia come “rimprovero derivante dall’inottemperanza da parte dell’ente dell’obbligo di adottare le cautele, organizzative e gestionali, necessarie a prevenire la commissione degli illeciti”, “analogamente a quanto previsto dal D.lgs. 231/2001 in tema di responsabilità da reato degli enti”.
Alla luce di quanto sin qui espresso, la Corte di Cassazione è giunta alla conclusione che il ritardo nella rimozione dall’albo pretorio on line dei dati pubblicati è “pienamente riconducibile alla sfera di signoria dell’Ente e del suo apparato”.
Con l’ordinanza in esame, la Corte di Cassazione rileva un’importante analogia tra la disciplina in materia di protezione dei dati personali e quella in tema di responsabilità da reato degli enti, comparando e parificando appunto la mancata adozione di adeguate misure tecniche ed organizzative (ex art. 32, GDPR) alla c.d. “colpa di organizzazione” prevista dal D.lgs. 231/2001.
Altri Insights correlati:
Lo scorso 23 giugno l’Autorità Garante per la protezione dei dati personali (il “Garante”) ha pubblicato la “Relazione annuale 2019” (la “Relazione”) contenente il bilancio di tutte le attività svolte nel corso dell’anno solare precedente.
Con la pubblicazione della Relazione, il Garante ha confermato quanto già precedentemente espresso con la nota prot. n. 7797, del 27 febbraio 2019, in merito alla qualificazione soggettiva del Medico Competente (così come definito dall’art. 38 del D.lgs. 81/2008, il “Decreto”)
Per meglio comprendere la questione, è doveroso fare una brevissima premessa.
L’articolo 4 del Regolamento (UE) in materia di protezione dei dati personali (il “Regolamento”) definisce le figure del Titolare del trattamento di dati personali e del Responsabile del trattamento rispettivamente come (i) “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali” e (ii) “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”.
Sin dalle prime interpretazioni ed applicazioni del Regolamento, la dottrina ha aperto un dibattito sulla corretta qualificazione soggettiva del Medico competente in relazione ai trattamenti dei dati personali svolti da quest’ultimo nell’esecuzione delle funzioni e dei compiti assegnatigli dal Decreto.
Una parte della dottrina configurava il Medico Competente come Responsabile del trattamento (ex art. 28 del Regolamento), inquadrando il datore di lavoro quale unico Titolare del trattamento e riconoscendogli il compito di determinare le finalità e i mezzi dei trattamenti effettuati dal professionista. La motivazione di tale tesi si fondava sul fatto che il rapporto tra il datore di lavoro e il Medico competente fosse regolato da uno specifico contratto con cui quest’ultimo veniva espressamente autorizzato dal primo ad effettuare i trattamenti di dati personali (ivi inclusi quelli appartenenti a categorie particolari, alias ex dati c.d. “sensibili”) dei dipendenti interessati.
Di contro, una diversa parte della dottrina qualificava il Medico competente quale autonomo Titolare del trattamento affermando che le finalità dei trattamenti effettuati fossero stabilite dal Decreto e non dal datore di lavoro.
Tale ultima tesi è stata espressamente confermata dal Garante che qualifica il Medico competente come un autonomo Titolare del trattamento. La tipologia di trattamenti svolti dal professionista (a titolo esemplificativo, la sorveglianza sanitaria o la creazione delle cartelle sanitarie), di fatto, sono una prerogativa di quest’ultimo e non del datore di lavoro.
Ed anche sotto il profilo sanzionatorio, secondo il Garante, il quadro normativo distingue puntualmente le responsabilità che ricadono sul datore di lavoro da quelle che ricadono sul Medico competente.
Altri Insights correlati:
Lo scorso 16 luglio 2020, la Corte di Giustizia dell’Unione Europea (“CGUE” o “Corte”) con la sentenza “Data Protection Commisioner v Facebook Ireland Limited, Maximilian Schrems C-311/18”, ha dichiarato invalida la Decisione n. 2016/1250 e, di conseguenza, l’accordo siglato tra l’Unione Europea e gli Stati Uniti d’America avente l’obiettivo di tutelare e disciplinare il trasferimento dei dati personali dei cittadini europei verso soggetti destinatari allocati nel territorio americano (“Privacy Shield”)“.
Sul punto il Comitato Europeo per la Protezione dei Dati (“European Data Protection Board” o “EDPB”) ha predisposto delle “Frequently Asked Questions” (“FAQ”) che l’Autorità Garante per la protezione dei dati personali (il “Garante”) ha provveduto a tradurre nella lingua italiana.
Con esse si sottolinea espressamente che possono essere ancora considerati strumenti adeguati a rendere legittimo il trasferimento dei dati personali verso destinatari stabiliti al di fuori del territorio dell’Unione Europea gli altri strumenti previsti dal Regolamento UE 2016/679 in materia di protezione dei dati personali (“Regolamento”), citando le Clausole Contrattuali Standard (“Standard Contractual Clauses” o “SCC”) e le Norme Vincolanti d’Impresa (“Binding Corporate Rules” o “BCR”). Viene evidenziato, inoltre, che è responsabilità delle parti valutare caso per caso i trasferimenti effettuati con la precisazione che: “Al momento il Comitato europeo per la protezione dei dati sta analizzando la sentenza della Corte per stabilire quali misure supplementari potrebbero essere fornite in aggiunta alle SCC o alle BCR, siano esse misure giuridiche, tecniche o organizzative, per trasferire dati verso paesi terzi in cui le SCC o le BCR non potranno assicurare isolatamente un livello sufficiente di garanzie”.
Ciò detto, le FAQ richiamano un ulteriore strumento quale base giuridica che legittima tali trasferimenti, ossia il consenso degli interessati. In particolare, si ribadisce che il linguaggio del consenso deve essere semplice e chiaro e deve informare in modo trasparente gli interessati sui possibili rischi che un trasferimento verso gli Stati Uniti, o comunque altre giurisdizioni estere, potrebbe comportare.
Per completezza di esposizione, si segnala che ulteriori strumenti previsti dal Regolamento quali basi giuridiche atte a legittimare i trasferimenti all’estero sono: (i) la presenza di una decisione di adeguatezza ai requisiti europei in materia di protezione dei dati personali e (ii) l’adesione a specifici Codici di condotta o, comunque, a meccanismi di certificazione i quali devono essere contestualmente applicati dal soggetto a cui i dati vengono trasferiti.
◊◊◊◊
In ogni caso, alla luce di quanto espresso dalla Corte con la sentenza in esame nonché dalle FAQ dell’EDPB, sarà compito di ciascuna organizzazione che effettua trasferimenti di dati verso destinatari stabiliti fuori dal territorio dell’Unione effettuare specifiche valutazioni dei trattamenti nonché dei rischi relativi individuando di volta in volta lo strumento adeguato a legittimazione del trasferimento svolto.
Altri Insights correlati:
Privacy Shield: la Corte di Giustizia Europea invalida l’Accordo UE – USA
